Ekspertki PIPC wystąpiły podczas webinaru Europejskiej Rady Przemysłu Chemicznego (Cefic)
20 września 2024 r. odbył się webinar Europejskiej Rady Przemysłu Chemicznego (Cefic): „Cefic Policy Horizon: EU elections – aftermath and the way towards the next European Commission”. Polską Izbę Przemysłu Chemicznego reprezentowały Klaudia Kleps, Dyrektor Pionu Regulacji i Legislacji oraz Aleksandra Sutryk, Główna Specjalistka ds. Regulacji. Ekspertki wygłosiły prezentację „Wdrożenie Dyrektywy NIS2. Nowe wyzwania dla przemysłu chemicznego. Perspektywa dla Polski.”
Dotychczasowa Strategia Cyberbezpieczeństwa Polski
W celu zbudowania spójnego systemu, mającego na celu zapewnienie cyberbezpieczeństwa podmiotom działającym na terenie Polski, w 2019 r. oficjalnie zatwierdzono Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019–2024. Dokument określa cele strategiczne oraz stosowne środki polityczne i regulacyjne, które należy wdrożyć, aby systemy informatyczne, operatorzy usług kluczowych, operatorzy infrastruktury krytycznej, dostawcy usług cyfrowych i administracja publiczna byli odporni na zagrożenia cybernetyczne.
Strategia uwzględnia w szczególności:
- cele i priorytety cyberbezpieczeństwa;
- podmioty zaangażowane we wdrażanie Strategii;
- środki wykorzystywane do osiągnięcia jej celów;
- określenie środków gotowości, reagowania i przywracania, w tym zasady współpracy publiczno-prywatnej;
- podejście do oceny ryzyka;
- działania związane z programami edukacyjnymi, informacyjnymi i szkoleniowymi dotyczącymi
- cyberbezpieczeństwa;
- działania związane z planami badawczo-rozwojowymi dotyczącymi cyberbezpieczeństwa.
Dokument definiuje pięć szczegółowych celów, m.in.: rozwój krajowego systemu cyberbezpieczeństwa, zwiększenie potencjału krajowego w zakresie technologii cyberbezpieczeństwa, budowanie świadomości i kompetencji społeczeństwa w zakresie cyberbezpieczeństwa.
Coraz więcej incydentów cyberbezpieczeństwa
Ekspertki podkreśliły, że pojawienie się nowych cyberzagrożeń zmusza zarówno instytucje publiczne, jak i podmioty prywatne do przeznaczania coraz większych środków na zapewnienie cyberbezpieczeństwa.
– Zmieniająca się sytuacja międzynarodowa sprawia, że konieczne jest dalsze wzmacnianie podmiotów Krajowego Systemu Cyberbezpieczeństwa. Podkreślają to m.in. statystyki Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego NASK. W 2022 r. zgłoszono ponad 39 tys. incydentów cyberbezpieczeństwa, a w 2023 r. ponad 75 tys. incydentów cyberbezpieczeństwa. Dyrektywa NIS2 i wdrażające ją rozporządzenia mają być odpowiedzią na dynamicznie zmieniającą się sytuację w cyberprzestrzeni. W procesie implementacji dyrektywy istotne jest jednak zapewnienie klarowności przepisów, w szczególności dotyczących obowiązków poszczególnych podmiotów i jej wdrożenia w niezbędnym zakresie – powiedziała Klaudia Kleps, Dyrektor Pionu Rzecznictwa i Legislacji, PIPC.
Projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa
Dyrektywa NIS2 to akt prawny, który ustanawia ogólne standardy cyberbezpieczeństwa dla kluczowych jednostek w Unii Europejskiej. Jest to aktualizacja pierwotnej dyrektywy NIS z 2016 r., mająca na celu dostosowanie przepisów do dynamicznie zmieniającego się środowiska cyfrowego i rosnącego zagrożenia cyberatakami. Dyrektywa NIS2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na podmioty kluczowe i podmioty ważne, nakładając na nich szereg obowiązków. Ponadto rozszerzono katalog sektorów objętych dyrektywą.
W Polsce przepisy Dyrektywy NIS wdraża ustawa o Krajowym Systemie Cyberbezpieczeństwa. Przyjęcie ustawy 28 sierpnia 2018 r. stworzyło podstawy prawne i organizacyjne do budowy kompleksowego systemu cyberbezpieczeństwa w Polsce. Aktualnie ustawa jest na etapie aktualizacji ze względu na konieczność implementacji zapisów Dyrektywy NIS2.
Aleksandra Sutryk wskazała kluczowe obowiązki w ramach nowego projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa.
– Jednym z najważniejszych obowiązków, który będzie wymagał ogromnego wysiłku organizacyjnego w celu wdrożenia wielu zmian w organizacji, w tym nowych procesów i procedur wewnętrznych, będzie wymóg posiadania systemu zarządzania bezpieczeństwem informacji dla procesów mających wpływ na świadczenie usług – podkreśliła Aleksandra Sutryk, Główna Specjalistka ds. Regulacji, Pion Rzecznictwa i Legislacji, PIPC.
Projekt umożliwia również Radzie Ministrów wydanie sektorowych wytycznych dla systemu zarządzania bezpieczeństwem informacji.
Aleksandra Sutryk wskazała, że przewiduje się również możliwość nakładania indywidualnych kar administracyjnych bezpośrednio na osoby zarządzające (tj. np. członków zarządu w spółce z ograniczoną odpowiedzialnością czy spółce akcyjnej) w przypadku niewykonania lub nieprawidłowego wykonania poszczególnych wymogów ustawy w spółce. Kary mogą wynieść nawet do 600% wynagrodzenia otrzymanego przez osobę ukaraną.
Działalność PIPC
Polska Izba Przemysłu Chemicznego podejmuje szereg działań, aby pomóc Członkom w wypełnianiu nowych obowiązków. Jeden z projektów Izby, Chemia 4.0 poświęcony jest digitalizacji i automatyzacji w przemyśle chemicznym, w tym zagadnieniom cyberbezpieczeństwa. To odpowiedź na pojawiające się wyzwania w związku z transformacją cyfrową. O wyzwaniach związanych z wdrożeniem Dyrektywy NIS2 do polskiego prawodawstwa PIPC informowała jako jedna z pierwszych organizacji. Już w 2023 r. zagadnienie to kilkukrotnie było sygnalizowane w agendach wydarzeń organizowanych przez Izbę, m.in. na X Kongresie Polska Chemia w czerwcu oraz „Workshops&Networking PIPC” we wrześniu. Z kolei w 2024 r. temat ten był przedmiotem dyskusji poruszanej w ramach Komisji Bezpieczeństwa i Techniki, a we wrześniu – w ramach kolejnej edycji „Workshops&Networking PIPC” zorganizowane zostało dedykowane szkolenie dla przemysłu chemicznego.
W ramach projektu, we wrześniu 2024 r. pojawiła się m.in. pierwsza publikacja raportu „Bezpieczna i Cyfrowa Chemia”. Wydanie to stanowi zbiór najważniejszych zagadnień dotyczących zarówno szeroko rozumianego bezpieczeństwa w branży chemicznej, jak i aspektów związanych z transformacją cyfrową przemysłu, i cyberbezpieczeństwem. Wśród nich znajduje się szczegółowe opracowanie poświęcone nowym wymogom regulacyjnym związanym z wdrożeniem Dyrektywy NIS2 w polskim prawodawstwie (od str. 120).